概述
攻击者正在利用 CVE-2024-24919 这一零日漏洞,针对 Check Point 安全网关进行攻击,定位并提取本地账户的密码哈希,进而在目标组织的网络中进行横向移动。IT 安全服务提供商 Mnemonic 指出,“这一漏洞尤其严重,因为它不需要任何用户交互或权限,使得远程利用变得非常简单。”他们还分享了观察到的多起 CVE-2024-24919 漏洞利用的攻击事件。
关于 CVE-2024-24919
Check Point 于周二揭示了这一漏洞的存在及其被广泛利用的情况。就在他们警告有关攻击者使用“依赖于不推荐的仅密码认证方法的旧 VPN 本地账户进行登录尝试”的一天后,发现这些尝试的根源正是 CVE-2024-24919 的利用。根据 Check Point 的说法,这一零日漏洞允许攻击者“读取启用了远程访问 VPN 或移动访问的互联网连接网关上的某些信息。”
漏洞详细信息
经过 Mnemonic 和 Watchtowr Labs 的研究,发现 CVE-2024-24919 是一种路径遍历漏洞,攻击者可以通过它读取系统上的任何文件,但他们主要利用它来提取本地账户的登录凭证(包括用于连接 Active Directory 的服务账户)。根据 Check Point 的说法,该漏洞影响了所有启用了移动访问软件刀片或 IPsec VPN 刀片的 Check Point 安全网关(但仅限于包括在远程访问 VPN 社区中的情况)。
零日利用情况
Mnemonic 自 2024 年 4 月 30 日以来观察到客户环境中的利用尝试。Check Point 进一步调查发现,第一次利用尝试始于 2024 年 4 月 7 日,并表示“正在积极调查更多情况”。Mnemonic 共享的信息显示,“我们观察到威胁行为者在使用本地用户登录后 2-3 小时内提取了 ntds.dit(Microsoft Active Directory 域服务中的主数据库文件)。”
攻击者的手法
攻击者(可能是初始访问代理)通过滥用 Visual Studio Code 进行流量隧道化,秘密提取了这一数据库。Check Point 已为各种受影响的安全网关设备发布了热修复,并建议客户尽快实施。他们还概述了一系列额外措施,以提高正在使用的 Check Point 网关的安全性。
安全建议与后续行动
组织应检查是否已成为攻击者的目标。Mnemonic 分享了一些攻击者进行侦察和利用的 IP 地址,Check Point 则提供了更为详尽的列表。Rapid7 的研究人员建议检查在特定时间段内成功的网页管理面板和 SSH 登录记录。如果发现了妥协的证据,则需要进行更深入的调查和修复。
CISA 目录更新
该漏洞已被加入到 CISA 的已知利用漏洞目录中。
更新信息(2024年6月5日,04:25 AM ET)
Greynoise 已设置标签来跟踪利用尝试。最初的利用尝试并不成功。“我们观察到的第一次真正的利用发生在 5 月 31 日早上,大约在 UTC 时间 9:40,当时一个来自纽约的 IP 地址 45.88.91.78 暂停了对 CISCO ASA 设备的搜索,开始针对该问题发起攻击,所用有效载荷似乎确实有效(实际上,与 watchTowr 的 PoC 令人怀疑地相同)。”
结论
CVE-2024-24919 的出现凸显了网络安全的重要性,组织应立即采取措施保护其网络安全,确保所有设备均已更新并采取必要的安全措施。对于此类漏洞的及时响应和修复,将有助于防止未来的攻击事件。
